Знакомьтесь: Tiks или просто Артем, 18 лет.

Кто он такой, чем  занимается и чем известен — узнаете из интервью ниже =)

Shtirlitz (S): Ты стал известен на вап-форумах как человек, показывающий уязвимости хостингов. Теперь, получив определенную репутацию, ты решил зарабатывать на нахождении багов, «дыр» в скриптах, так?..

Tiks (T): Вообще, эта идея была у меня давно. Даже еще до того, как появился раздел платной проверки на xakep.mobi.
Кстати, мне предлагали вести этот раздел, но я отказался, т.к. привык работать один.
А потом увидел тему на античате, но учеба на первом месте, поэтому идея угасла. А когда сессия была сдана, я как обычно серфил по форумам, и увидел тему о проверке сайтов на visavi.net от finall2. Обдумал все. И решил подзаработать. :-)
Раньше тоже проверял, но больше в «подполье». Проверял довольно известные вап-сайты. И с каждым разом все больше удивлялся, что и в таких сайтах бывают типичные ошибки. У многих людей в вапе сложился стереотип, что такие сайты неуязвимы. Но лично для себя я этот стереотип развеял. :-)
(S): И как? Клиентов хватает теперь? Расценки, смотрю, у тебя вполне демократичные.
(T):
От клиентов отбоя нет :-)
Приходится чем-то жертвовать, в данном случае, отдыхом и сном. Сегодня к примеру всю ночь исправлял один скрипт. Режим дня изменился. Приходится спать тогда, когда есть свободное время :-)
А расценки — это да. Стараюсь еще и скидки делать, т.к. понимаю, что не все готовы платить относительно большие суммы. В итоге сумма набегает за счет оборота. Т.е лучше 5 человек закажут по 100 рублей, чем 1 человек закажет за 300 рублей.
(S):
Озвучишь примерные суммы заработка за день? Не от зависти, а от любопытства =)
(T):
В среднем это 500-1000 рублей. Но был один день, когда 2000 заработал, правда работа объемная была. Одно дело — свой код, а другое — чужой код.
Приходится внимательно изучать все, чтобы ничего не упустить.
Ведь если проверю плохо — мне же потом и попадет. 😀
Да и репутация пострадает, а этого не хочется, т.к долго ее зарабатывал.
(S):
Скажи, ты находил «дырки» во многих вап-хостингах. Как реагировали хостеры на это? Они исправляли ошибки, выходили на тебя?
(T):
Обычно я сам писал хостерам и объяснял ситуацию.
Реагировали по-разному. Обычно просили помочь исправить, на что я, как правило, соглашался.
Попадались и такие, кто не верил мне, считал, что у них все защищено. Таким хостерам я не помогал.
Один хостер так вообще заявил в стиле «Давай, я тебе дам на пиво, ты нам расскажешь, что ты хотел сделать, и иди гуляй. А мы — серьезная контора.»
Писали хостеры и сами с просьбой проверить их сервер. :-)
(S):
Так, а скажи, твоя деятельность идет только на благо или иногда подобно Глюку чинишь неприятности кому-либо? Вопрос на честность =)
(T):
Если честно, мне просто лень чинить неприятности. Я лучше в кс поиграю 😀
Но бывают случаи, когда дело принципа.
Вот например, рекламил у меня на сайте как-то один человек свой сайт. В тот же день он остался без аккаунта и с дефейсом вместо сайта :-)
Потом он все вернул, но уже я его на моем сайте не видел. :-)
(S):
=) Ты в статье на хвабе (читайте ниже) рассказал о самых популярных ошибках хостеров?
(T):
Да. Написал все, что вспомнил. Некоторые советы несовместимы.
Просто зависит от уровня каждого человека.
Кому-то хватит удалить файл, чтобы по шаблону его не сломали. А кто-то задумается и найдет надежный, но более сложный способ. :-)
(S):
А скажи, что ты думаешь про Глюка, который чинит многим неприятности: ломает сайты, выкладывает бэкапы и базы данных?
(T):
Многие через это проходят…
Я и сам себя таким помню года 2 назад. Хочется известности, внимания.
Кто-то взрослеет, умнеет и прекращает беспредел. А кто-то как был ребенком, так им и остается. Каждый сам выбирает свою судьбу. :)
Возможно, через пару лет он исправится. А может и станет таким, как сириус, например.
(S):
Ладно, теперь необычный вопрос =) какой бы ты вопрос задал себе, если бы интервьюировал себя? =)
(T):
Вопрос действительно необычный :-)
Скорее всего, я бы спросил что-то вроде того, с чего все начиналось, каким был первый взлом, почему и т.п :-)
(S):
О, какой был первый взлом, какие эмоции испытал? =)
(T):
Ну это помню очень хорошо :-)
И снова связано с рекламой :-)
Это было в 2007 году, я тогда еще даже пхп не знал. На игровом вап-форуме один человек рекламировал свой сайт. А админа не было на форуме, т.к форум заброшенный был. Я захотел проучить его. Попал как-то на wap-hack.ru, почитал статей о вап-моторе.
А на том сайте как раз был мотор 15.7, также была библиотека Хинтоза. А Хинтоз — это один из админов вап-хака, эта библиотека была уязвима, и была статья, про то, как вытащить хэш админа :)
Я попробовал — получилось, но как узнать пароль я не знал. Я попросил на форуме расшифровать хэш. Это сейчас я знаю, что мд5 хэши подбираются, а не расшифровываются, а тогда не знал :-)
Человек с ником Shadow написал заветный пароль в теме. Чувак, я тебя никогда не забуду. Спасибо 😉 В качестве благодарности я подарил ему 7-значный номер аськи.
Пошел на сайт, пароль подошел. Натворил там много нехороших вещей, но был очень доволен 😀
На форуме показал ссылку. Люди начали писать: круто, респект, уважуха и т.п. Тогда мне 15-16 лет. И естественно, мне это очень понравилось. И я продолжил свой путь в этом направлении… :-)

***

На форуме хваба Tiks выложил статью-рекомендацию для хостеров и управляющих своими серверами, выкладываю её ниже.

Из-за утечки информации к вымогателям типа сириуса, решил поделиться знаниями :)
Чтобы не стать жертвой взлома хостинга:
1. Обязательно ставим mod_itk или аналог ему, типа mpm 2 peruser.
2. После этого ставим права 700 на папки public_html всех юзеров.
3. Если первые 2 действия вы не сделали и не будете делать, обязательно удалите бинарник /bin/ln или /usr/bin/ln
И чем быстрее, тем лучше.
Иначе у вас могут слить файлы. Пример команды в cron:
ln -s /home/admin/public_html/index.php /home/user/public_html/file.txt
Переходим браузером по ссылке site-usera/file.txt и видим содержимое скрипта.
Chmod 710, 750 не спасают! Только 700.
4. ISP + mod_php = очень плохо. Можно обойти open_basedir, если создать сайт без пхп, а потом прописать в .htaccess
php_flag engine on
Также в исп можно смотреть логи. Либо просите патчи у Fernus’a, Shift’a, либо пишите разработчикам, либо пишите патчи сами. (:
5. Обновите PHP, биллинг и панели управления до последней версии.
6. Не храните в биллинге пароли от серверов! А если и храните, то биллинг спрячьте на надежный хостинг либо вдс!
7. В php.ini обязательно должны быть настроены disable_functions (как минимум, exec, shell_exec, popen, system, proc_open, passthru, virtual, symlink, link) и open_basedir.
8. Отключите Mod userdir, чтобы не было доступа типа IP/~admin.
Итого: если чмоды на всех public_html 700, то вы в танке, и многое из выше перечисленного можно не делать. (:
Как только прочитаете сообщение, бегом удалять бинарник ln. Скрипт кидди не дремлят. (:
Надежные хостинги:
sweb.ru, jino.ru, masterhost.ru, qwarta.ru,
evrohoster.ru
Все писалось на скорую руку. Наиболее распространенные ошибки и способы их оперативного устранения. Каждый выберет себе по способностям.
P.S. Хостинги я не проверяю, ибо ничего нового не скажу. Читаем, анализируем. 

****

Оцени статью: